B.14.1 PPモジュールの必須の内容
482 図11に、PPモジュールの必須の内容を示す。
図11 -PPモジュールの内容
483 PPモジュールの内容は以下に要約され、その詳細についてはB.14.3節からB.14.10節 で説明されている。PPモジュールには以下が含まれる:
‐ PPモジュールを識別し、基本PPを識別し、対応する根拠を述べ、基本PPの基本と なる記述を満たす、TOE環境内でTOEの記述を提供する概説、
‐ モジュールとその基本PP間の対応を述べる一貫性根拠、
‐ 継承されたEAL及び適合ステートメントを含む、CCに関する適合主張、
‐ 脅威、前提条件、及び組織のセキュリティ方針を含むセキュリティ課題定義、
‐ TOE 及びその運用環境の対策方針に関するセキュリティ課題に解決方法を提示す る、セキュリティ対策方針の節、
‐ CCパート2に含まれていない新しい機能コンポーネントが導入されたオプションの拡
張機能コンポーネント定義、
‐ TOEセキュリティ対策方針の標準化されたステートメントを含むセキュリティ機能要件 の節。
B.14.2 PPモジュールの使用
484 PP モジュールは、利用者や開発者のグループ、規制組織、行政、または特定の消費者 ニーズを満たすその他すべてのエンティティのセキュリティステートメントである。PP モ ジュールは、1つ以上の基本PPを補足して消費者がこのステートメントを参照できるように し、それに対する評価及び適合する評価済みのTOEの比較を容易にする。
B.14.3 PPモジュール概説
B.14.3.1 PPモジュール参照
485 PPモジュール概説では、PPモジュールを識別できる、明確で曖昧さのない参照を提供す る。一般的な参照は、PP モジュールのタイトル、バージョン、作成者、及び公表日で構成 される。
486 PP モジュール参照は、プロテクションプロファイルのデータベースにある文書のインデック スに使用される。
B.14.3.2 基本PP識別
487 PP モジュール概説では、そのモジュールが依存する基本プロテクションプロファイルを識 別する。識別は、PP参照のリストで構成される。
488 PPモジュールは、例えば{PP1,..., PPn}のように、基本PPのセットとともに同時に使用される ことを要求することもある; 識別リストは、次のように記述される:
489 PPモジュールは、例えば{S1,..., Sk}のように、基本PPの別のセットと合わせた使用を許可 することもある; 識別リストは、次のように記述される:
490 その場合、基本PP識別の一般的な形式は次のようになる。
2
491 「OR」を含むリストを記述する PP モジュールは、そのリストのエレメントと同数の PP モ ジュールによって置き換えることができる点に注意のこと。つまり、「OR」を含むリストは、異 なる使用法で同じような PP モジュールを管理することを回避するための手段であり、これ によってセキュリティ仕様自体に複雑性をもたらすことはない。
B.14.3.3 TOE概要
492 PPモジュールのTOE概要は、基本PPのTOE概要を完成させることができるが、これに は以下の補足内容が、基本PPと矛盾しないことが条件となる:
【訳注】2 原文では、
と記述されている。
‐ PPモジュールの TOE種別は、基本PPのTOE種別と同じであるか、またはPPモ ジュールの目的に合う特定性を導入することができる。
‐ PP モジュールは、基本PP に記述された使用法及び主要なセキュリティ機能に、追 加の使用法及び主要なセキュリティ機能を導入することができる。
‐ PPモジュールは、基本PPのステートメントに準拠した、特定の、TOE以外のハード ウェア、ソフトウェア、及び/またはファームウェアを指定することができる。
493 PPのTOE概要に関するSTの補足、または他のPPに適合するPPの補足と同じ意味で、
PPモジュールにおいて1つ以上の基本PPのTOE概要を補足する可能性がある。
494 統合する必要がある異なる特性が基本 PP の TOE 概要に提示されているときは、PP モ ジュールのTOE概要のステートメントが必須となる。
495 PPモジュールは、基本PPの別のセットと同数の特定のTOE概要を提供することもある。
B.14.4 一貫性根拠
496 PPモジュールは、その基本PPに関して一貫性根拠を提供しなければならない。
497 PPモジュールが基本PPの別のセットを特定する場合、PPモジュールはその基本PPの 別のセットと同数の適合主張を提供しなければならない。
498 PPモジュールが基本PPの別のセットを特定する場合、PPモジュールはその基本PPの 別のセットと同数の一貫性根拠を提供しなければならない。
499 一貫性分析は、TOE種別、SPD、対策方針、及びセキュリティ機能要件において実施され なければならない。最終的に、その目的は、基本 PP 及び PP モジュールで提供される TOE 種別の記述内容を TOE が満たせること、ならびに、すべての基本 PP 及び PP モ ジュールのセキュリティ機能要件を満たせることを実証することである。
500 一貫性根拠では、基本PP 及びPPモジュールからの SPD、対策方針、及びセキュリティ 機能要件を合わせたものに矛盾が生じないことを実証しなければならない。
501 一貫性根拠では、必要に応じて文章による正当化と合わせて、PP モジュールの SPD/対 策方針/SFRと基本PPのSPD/対策方針/SFRとの対応表を使用してもよい。
502 SFRレベルの一貫性とは、PPモジュールが基本 PPの前提条件及び環境の対策方針を 変更しない条件で、対策方針の統合とSPDの統合の一貫性を意味している点に注意のこ と。
B.14.5 適合主張
503 この節では、以下へのPPモジュールの適合について記述する。
‐ コモンクライテリアのパート2: CCバージョン及び拡張セキュリティ要件、
‐ SFRパッケージ。
504 PPモジュールは、いかなるPP、PPモジュール、またはPP構成にも適合を主張できない。
505 PPモジュールは、基本PPからのSARパッケージ(定義済みEALを含む)への適合を継 承する。異なるEALを持つ基本PPを結合する問題は、それらのすべてのPPに適合する STのように取り扱われなければならない。
506 PPモジュールは、基本PPからの適合ステートメント(正確適合または論証適合)を継承す る。異なる適合ステートメントを持つ基本 PPを結合する問題は、それらのすべての PPに 適合するSTのように取り扱われなければならない。
B.14.6 セキュリティ課題定義
507 この節では、PPモジュールによって対処されるセキュリティ課題を定義する。これには、前 提条件、脅威、及び組織のセキュリティ方針を含むことができる。
508 PPモジュールは、基本PPのセキュリティ課題、ならびにPPモジュールの概要で提供され たTOEの定義及びその環境と関連して、セキュリティ課題を定義する。
509 SPDの各エレメントは、基本PPから由来するか、完全に新しいものとすることがある。Eが PPモジュールのSPDのエレメントとするなら、以下のケースの1つが当てはまる:
‐ Eは、識別された基本PPに属する; PPモジュールには、基本PPのエレメントへの 参照を含むだけでよい。
‐ Eは、基本PPのエレメントを詳細化した結果である。
‐ Eは、TOEまたはその環境の追加機能に関連して、PPモジュールによって導入され た新しいエレメントである。
510 解釈された/詳細化されたエレメントは、SPD の意味にいかなる影響も与えない限り、新し いエレメントとして取り扱うことができる点に注意のこと。
511 STの場合と同様に、基本PPの範囲外の側面を対象とすることを条件として、PPモジュー ルが前提条件を導入できる点に注意のこと。
B.14.7 セキュリティ対策方針
512 この節では、TOE及びTOEの運用環境のセキュリティ対策方針を定義する。
513 PPモジュールは、そのセキュリティ課題、及び基本PPのセキュリティ対策方針と関連する、
セキュリティ対策方針を定義する。
514 各セキュリティ対策方針は、基本PPから由来するか、完全に新しいものとすることがある。
OがPPモジュールの対策方針とするなら、以下のケースの1つが当てはまる:
‐ Oは、識別された基本PPに属する; PPモジュールには、基本PPの対策方針への 参照を含むだけでよい。
‐ Oは、(TOEまたはTOEの運用環境に対して)同じ種類の基本PPの対策方針を詳 細化した結果である。
‐ Oは、PPモジュールによって導入された新しい対策方針である。
515 詳細化された対策方針は、対策方針のそのセット全体の意味にいかなる影響も与えない 限り、新しい対策方針として取り扱うことができる点に注意のこと。
516 STの場合と同様に、基本PPの範囲外の側面に対処することを条件として、PPモジュール はTOEの運用環境の新しい対策方針を導入できる。
517 一方で、これがPPモジュールの目的である場合、基本PPの環境のセキュリティ対策方針 の中には、PPモジュールにおけるTOEのセキュリティ対策方針になり得るものもある。
518 また、この節では、PPモジュールの SPDとセキュリティ対策方針との間の根拠も定義する。
これは、B.7節で述べたとおり、PPモジュールのSPDからそのセキュリティ対策方針までを たどるマッピングに加え、その追跡が効果的であることを実証する正当化から成る。さらに、
マッピングでは、すべての前提条件、脅威、及び組織のセキュリティ方針を対象とすること だけでなく、無用なセキュリティ対策方針が存在しないことも示す必要がある。
519 PPモジュールのセキュリティ対策方針の中には、そのPPモジュール自体のSPDには属さ ないが、基本PPのSPDには属すエレメントも対象としている場合がある。この情報は要求 されないが、適用上の注釈において提供することができる。
B.14.8 拡張機能コンポーネント定義
520 この節は、A.8 節で特定した標準PP及びSTの拡張コンポーネントの節と同じであり、機 能コンポーネントのみに適用される。
B.14.9 セキュリティ機能要件
521 この節では、PPモジュールの TOEセキュリティ対策方針のセット及び基本PPのセキュリ ティ機能要件と関連して、TOEのセキュリティ機能要件を定義する。
522 各セキュリティ機能要件は、基本PPから由来するか、完全に新しいものとすることがある。
RがPPモジュールのセキュリティ機能要件とするなら、以下のケースの1つが当てはまる:
‐ Rは、識別された基本PPに属する; PPモジュールには、基本PPの要件への参照を 含むだけでよい。
‐ Rは、基本PPのSFRを詳細化した結果である。
‐ Rは、PPモジュールによって導入された新しい要件である。
523 詳細化された要件は、要件のそのセット全体の意味にいかなる影響も与えない限り、新し い要件として取り扱うことができる点に注意のこと。
524 また、この節では、PPモジュールのSFRとTOEセキュリティ対策方針との間の根拠も定義 する。これは、B.9節で述べたとおり、PPモジュールのTOE対策方針から1つ以上のSFR までをたどるマッピングに加え、その追跡が効果的であることを実証する正当化から成る。
さらに、マッピングでは、B.14.10節で特定した条件を満たさなければならず、またTOEの すべての対策方針を対象とすることだけでなく、無用なセキュリティ機能要件が存在しな いことも示す必要がある。
525 PPモジュールのSFRの中には、そのPPモジュール自体には属さない基本PPのTOEセ キュリティ対策方針も対象としている場合がある。この情報は要求されないが、適用上の 注釈において提供することができる。
B.14.10 基本PPのエレメントを含めるためのガイダンス
526 PP モジュールに含まれる情報の量を制限するために、エディタは以下の規則を適用する ことができる。